Bulletin d'alerte Debian

DLA-2158-1 ruby2.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
25 mars 2020
Paquets concernés :
ruby2.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2338.
Plus de précisions :

Une vulnérabilité exploitable de dépassement de tas existait dans la fonction Psych::Emitter start document de Ruby. Dans Psych::Emitter start document une allocation head de tampon de tas est réalisée en se basant sur la longueur de tableau d’étiquettes. Un objet spécialement construit passé comme élément de tableau d’étiquettes pouvait accroître cette taille de tableau après l’allocation mentionnée et provoquer un dépassement de tas.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.1.5-2+deb8u9.

Nous vous recommandons de mettre à jour vos paquets ruby2.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.